【経緯と疑問点整理】Zaifから約67億円相当の仮想通貨が盗難

9月28日追記：Zaifは、25日付け近畿財務局の発出した業務改善命令に対して、9月27日に改善計画書を提出した、と発表しています。

https://corp.zaif.jp/info/10252/

9月20日午前2時15分、Zaifを運営するテックビューロは、日本円にして約67億円の仮想通貨が盗難されたことを公表しました。

プレスリリース：https://prtimes.jp/main/html/rd/p/000000093.000012906.html

事象発覚までの経緯

プレスリリースで発表された内容と、Zaifのツイッターからわかる経緯は以下のように整理されます。

（※9月20日02:15に発表されたプレスリリースから経緯を抽出したもので、その日付にプレスリリースが出た訳ではありません）

疑問点

経緯をまとめると、以下のような疑問が出てきます。

疑問その1：9月14日に不正送金が行われた場合、有高と利用者の帳簿残高が一致しなくなるが、9月18日まで、その点に気づかなかった。

通常、仮想通貨交換業者に対しては、有高（ウォレット内の残高：銀行でいう手元の現金）と各利用者の帳簿上の残高（銀行いう、システムに記録されている現金の残高）が一致することを日々確認することが求められています（銀行では「締め処理」と呼ばれ、15時に店を閉めてから、この作業が始まります）。これは、金融庁が「中間とりまとめ」の中でも、「複数の事業者で認められた事例」として明記している内容です。

利用者の暗号資産に係る帳簿とブロックチェーン上の有高との照合作業を毎営業日実施しておらず、照合作業が適切に行われているかについて事後的な検証を行っていない。

9月14日は金曜日です。締め時刻については分かりませんが、ハッキングが17時ごろから19時ごろに行われたとすれば、少なくとも直後の締め処理では、確実に発覚するはずです。

疑問その2：9月17日のサーバ異常はどのようなものか。この時点では、ハッキングの被害が確認されていないことになるため、ハッキングとサーバ異常の関連が不明確。

仮に、この異常が疑問1に示したような「残高不一致」だったとすれば、「毎営業日実施していない」ことを裏付けます。17日に残高不一致を確認してから、18日にハッキング被害を確認した、というのは動きが遅いといえます。経緯を確認する限り、17日のサーバ異常は、16:57以前でなければ不自然ですし、18日のハッキングの被害を確認したのは、11:48以降でなければ不自然です。

（9月17日は祝日なので、17日に検出されたサーバ異常が「残高不一致」だったとした場合、直後の締め日である9月15日の時点で残高不一致が検出されていないため、金融庁の指摘に対応していないことになります）

疑問その3：9月18日、ハッキングの被害確認と、お客様資産の安全確認は、どちらが先だったのか。また、お客様資産の安全確認は、何を、どのようなレベルで確認したのか。

twitterで公表している内容なので、この時系列と確認方法、判断基準については、財務局に対しても説明を求められることになりますし、利用者に対しても説明する必要があるものと考えられます。

疑問その4：業務改善命令で指摘されていた内容が、今回のハッキングで利用されていたのか。

近畿財務局が6月22日付けで業務改善命令を出しており、それに対してZaif側は改善計画書を7月23日に提出したことを公表していますが、業務改善命令では、毎月10日までに改善状況の報告を求めています。

近畿財務局（業務改善命令）：http://kinki.mof.go.jp/file/rizai/pagekinkihp025000045.html

テックビューロー（業務改善計画提出）：https://corp.zaif.jp/info/9967/

業務改善計画の内容と、今回発生した事象の関連として、修正中の課題を狙われたものなのか、それとも無関係なのか、といった点も、明らかにすべきと考えます。

今後も、新しい情報が確認された時点で、記事を更新していきます。